9 herramientas de seguridad para contenedores

Y por qué las necesita

0
26

El advenimiento de los contenedores ha cambiado no solo la forma en que se despliegan las aplicaciones, sino también la forma en que departamentos de TI hacen sus negocios diarios. Los contenedores ofrecen muchos beneficios bien documentados que abarcan toda la amplitud de un departamento de TI moderno y el ciclo de vida completo de las aplicaciones. Sin embargo, para asegurar los contenedores, se requiere una mezcla de herramientas de seguridad especializadas y tradicionales. A continuación, describimos algunas de las herramientas de seguridad de contenedores más populares, pero primero veamos los desafíos de seguridad que presentan los contenedores.

Desafíos de seguridad de los contenedores
Los beneficios de los contenedores, como la disponibilidad de imágenes estandarizadas, la rápida iteración y la escalabilidad, plantean sus propios retos a los responsables de la seguridad de las empresas. Las imágenes estandarizadas (paquetes de software ejecutables independientes) de los depósitos públicos y las imágenes construidas por equipos de desarrollo internos, deben ser examinadas y aprobadas. La escalabilidad y las diversas infraestructuras que respaldan las aplicaciones en contenedores requieren que cualquier proceso o herramienta que se utilice para garantizar la seguridad de sus aplicaciones sea a la vez dinámico y flexible.

Muchas empresas experimentan beneficios secundarios de los contenedores a través de procesos de DevOps, como la integración continua y la entrega continua (CI/CD). Estos procesos aumentan drásticamente la eficiencia del proceso de desarrollo y despliegue, presionando a la seguridad para mantener esa eficiencia mientras se aseguran las aplicaciones corporativas críticas.

Muchas herramientas de seguridad de la información tienen un uso limitado a medida que su infraestructura madura e innova con los contenedores y una arquitectura de nubes. Por ejemplo, herramientas como la protección de puntos finales, la configuración basada en políticas y la supervisión de la red no están bien equipadas para manejar imágenes que se despliegan automáticamente, se iteran rápidamente y se escalan de forma dinámica. Estas herramientas a menudo tienen un impacto negativo en el rendimiento, y no proporcionan una gran retroalimentación a los desarrolladores o administradores de aplicaciones.

Sin embargo, algunos componentes de seguridad tradicionales siguen siendo parte integrante de una infraestructura basada en contenedores. Las herramientas de análisis de registros y de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés) son fundamentales para consumir y correlacionar los datos de los registros, aunque las herramientas para agilizar el proceso de identificación de los datos de los registros para pasarlos a su SIEM son fundamentales para mantener una visibilidad completa.

Un punto delicado, tanto para las aplicaciones tradicionales como para las que se ejecutan en contenedores, es la gestión de secretos que incluye cosas como credenciales, claves de API o certificados privados. Tener credenciales o claves de API incrustadas en una aplicación en texto plano es un vector de ataque común, y asegurar adecuadamente estos secretos dentro de cualquier aplicación no es algo trivial. Los contenedores añaden complejidad a este problema. La incrustación de credenciales en imágenes preempaquetadas es una importante preocupación de seguridad. La gestión de estos secretos en toda su infraestructura también es un esfuerzo significativo. La solución ideal sería aplicar estas credenciales en tiempo de ejecución, lo que hace que la gestión de los secretos sea una necesidad clave para cualquier solución de seguridad de los contenedores.

No es justo pintar los contenedores como una pesadilla de seguridad, porque simplemente no es verdad. Cuando se gestionan adecuadamente los contenedores, ofrecen un marco ideal para asegurar de forma óptima sus aplicaciones. La misma flexibilidad que ofrecen las imágenes de los contenedores para su instalación, los hacen ideales para el análisis automatizado de vulnerabilidades en múltiples etapas del ciclo de vida de la aplicación. Las imágenes también pueden designarse como de solo lectura, o «inmutables», lo que hace mucho más difícil que los malos actores comprometan el contenedor una vez que ha sido desplegado.

Del mismo modo, su infraestructura puede ser diseñada para impedir que los contenedores salgan de su espacio de ejecución designado, una técnica conocida como «escape de contenedores», y potencialmente utilizada para atacar la plataforma de acogida u otros contenedores. Muchos de los instrumentos enumerados aquí incorporan las medidas de seguridad de los contenedores en un solo panel de vidrio, lo que facilita enormemente la gestión y la automatización.

La seguridad de los contenedores y sus plataformas mediante los instrumentos tradicionales no es una tarea fácil. Las herramientas de seguridad de los contenedores deberían aprovechar las mismas fuerzas y normas que aportan los contenedores para integrarse más estrechamente en los procesos de desarrollo. ¿Por qué no proporcionar a los desarrolladores visibilidad sobre el cumplimiento y las normas de las políticas mientras desarrollan una aplicación, para que puedan abordar las preocupaciones de seguridad sobre la marcha? En lugar de crear manualmente políticas, reglas de firewalls e incluso procesos de corrección, ¿por qué no utilizar código, automatización y herramientas para ayudar a diseñar, hacer cumplir e informar sobre las normas de seguridad?

Herramientas de seguridad
Las herramientas para asegurar los contenedores y sus plataformas no solo le permiten mejorar la postura de seguridad de sus contenedores, sino que también integran la seguridad de manera más estricta en todo el ciclo de vida del contenedor, desde el desarrollo hasta el tiempo de ejecución.

Alert Logic Managed Detection and Response (MDR): Esta herramienta se centra en la detección de intrusos mediante el análisis en tiempo real de los paquetes de red y los registros de aplicación. MDR no es solo una herramienta, sino un servicio gestionado que proporciona a los profesionales de la seguridad (ya sea en equipo con el nivel profesional o un analista dedicado con el nivel empresarial) para ayudar a supervisar y asegurar sus aplicaciones de contenedores.

Anchore Enterprise: Anchore Enterprise está más orientado al proceso de desarrollo que al tiempo de ejecución, aportando herramientas gráficas (así como gestión basada en API) para inspeccionar imágenes procedentes de repositorios públicos o privados, una lista de paquetes con capacidad de búsqueda, así como características como listas blancas y negras. Anchore Enterprise se integra estrechamente con sus procesos de CI/CD y facilita el cumplimiento y las comprobaciones de las mejores prácticas a lo largo del proceso de desarrollo. Anchore Enterprise ofrece precios escalonados basados en el conjunto de características y la capacidad de rendimiento.

Aqua Security: Aqua Security tiene la intención de asegurar el ciclo de vida completo del contenedor con su plataforma de seguridad nativa de la nube. Aqua se integra con la plataforma CI/CD de su elección, así como con los registros de imágenes comunes para identificar las posibles vulnerabilidades tan pronto como sea posible en el proceso. La visibilidad de los diversos componentes de la arquitectura de su contenedor es otro elemento clave que Aqua proporciona, incluyendo el alojamiento en la nube, las suites de orquestación y las redes que conectan las diferentes piezas. Aqua también habla con bóvedas de terceros, SIEM y herramientas de alerta, y herramientas de colaboración como Slack y Jira.

Aqua ofrece una variedad de herramientas de código abierto, así como una licencia de desarrollo gratuita (no de producción) para su solución Aqua Wave. Tanto Aqua Wave como Aqua Enterprise tienen un precio basado en las opciones habilitadas y la escala, con licencias de producción para Aqua Wave que comienzan en el entorno de los 10 mil dólares al año.

Deepfence: Deepfence es una solución de vigilancia de contenedores que puede proporcionar la creación y el endurecimiento de políticas dinámicas, la auditoría de sistemas y la vigilancia, la alerta y la reparación en tiempo real. Tiene ricas capacidades analíticas que pueden ser utilizadas para rastrear el uso y el rendimiento de las aplicaciones a lo largo del tiempo, visualizar la arquitectura del sistema, e investigar comportamientos anómalos. Deepfence se licencia por nodo (ejecutando el agente Deepfence) y ofrece tanto una edición gratuita para la comunidad como su edición para empresas, que tiene un precio de 1.800 dólares por nodo al año.

NeuVector: NeuVector es otra opción que se inserta profundamente en cada aspecto del ciclo de vida del contenedor, desde el desarrollo hasta el tiempo de ejecución. El aprendizaje de máquina se combina con la integración en las herramientas existentes a lo largo del proceso de desarrollo e implementación para identificar comportamientos anómalos de las aplicaciones y servicios. NeuVector incluso proporciona una inspección del tráfico de la red en la capa de aplicación para prevenir los ataques DDoS y DNS. Las licencias de NeuVector están disponibles como una suscripción anual a partir de 1.200 dólares por nodo/host.

Palo Alto Networks Prisma Cloud: Prisma Cloud es de una de las entidades más establecidas en seguridad de redes y ofrece un conjunto de características que se comparan favorablemente con las otras herramientas que aquí se tratan. Mientras que Palo Alto es generalmente conocido por sus soluciones de seguridad de red, Prisma Cloud cubre todo el ciclo de vida del contenedor, integrándose hasta el final en las herramientas que los desarrolladores ya utilizan como los entornos de desarrollo integrado (IDEs) y las herramientas de gestión de configuración de software (SCM). Este empuje para integrar la seguridad en el proceso tan pronto como sea posible, permite una iteración más rápida y un flujo de trabajo de desarrollo más eficiente. Prisma Cloud se licencia por la carga de trabajo, que generalmente se define como un recurso en una cuenta de nube.

Qualys Container Security: Qualys Container Security es otra plataforma que realiza el ciclo de vida completo, integrándose con el pipeline de DevOps, escaneando imágenes en busca de vulnerabilidades y monitoreando los contenedores en tiempo de ejecución. Qualys también va un paso más allá y habla con las aplicaciones comunes que se ejecutan en sus contenedores para monitorear su salud e identificar posibles vulnerabilidades. Qualys ofrece licencias tanto para las evaluaciones de seguridad de los contenedores, como para la protección en tiempo de ejecución basada en el host y el nodo o por contenedor en ejecución.

StackRox Kubernetes Security Platform: La Plataforma de Seguridad de Kubernetes de StackRox aporta el mismo intento de madurar el ciclo de vida de desarrollo de los contenedores en un proceso integrado de DevSecOps, y añade la capacidad de vincularse directamente a los Kubernetes, aprovechando y mejorando los controles de seguridad nativos de los Kubernetes. StackRox es compatible con las evaluaciones de cumplimiento que identifican las variaciones de las normas y mejores prácticas de CIS, PCI, HIPAA y NIST, e incluso le permitirá simular los cambios en las políticas de red para predecir su impacto. StackRox licencia su plataforma de seguridad basándose en el número de nodos de trabajadores de Kubernetes en uso.

Sysdig Secure: Sysdig Secure comienza a ocuparse de la seguridad de su contenedor durante el proceso de CI/CD o a través de la integración con cualquier registro de imágenes compatible con Docker v2. La administración de la vulnerabilidad se maneja a través de un proceso basado en el flujo de trabajo que soporta períodos de gracia basados en la severidad de la vulnerabilidad. Sysdig también le da herramientas para detectar debilidades en la configuración, uso secreto y violaciones de las mejores prácticas. Sysdig ofrece tres soluciones (Sysdig Monitor, Sysdig Secure, y la plataforma Sysdig Secure DevOps) a dos niveles de precio (Enterprise y Essentials). Essentials cuesta 20 dólares mensuales para Monitor, 40 dólares para Secure, o 50 dólares mensuales para la plataforma completa de DevOps. El precio de Enterprise dependerá de sus requerimientos y requerirá una llamada al equipo de ventas de Sysdig.

Tim Ferrill, CSOonline.com